华硕内网密码泄露是怎么回事？具体事件始末

日前，有美国科技媒体TechCrunch报道，一位信息安全研究员向华硕发出警告表示，华硕的员工在GitHub代码库上错误地发布密码，这些密码可用于访问公司的公司内网，根据消息称有问题的代码是一位华硕工程师所为，他将电子邮件帐户的密码公开曝光少一年，尽管GitHub账户仍然存在，但代码库已被清除干净。

图片版权所属：站长之家

该信息研究人员分享了几个截图来验证他发现的真实性，该研究人员没有测试帐户访问能获得哪些消息，但警告表示它可以很容易的泄露到网络上，引起更大的危害。他表示：“你需要的只是发送其中一封带有附件的电子邮件给任何收件人，就能进行鱼叉式钓鱼攻击。”

通过公司专用的安全电子邮件，研究人员向华硕警告了密码被暴露的凭证。六天后，他再也无法登录邮箱，并认为此事已得到解决，但他发现少还有两个华硕工程师在其GitHub页面上暴露公司密码的案例。

位于台湾的一位华硕软件架构师在他的GitHub页面上留下了代码中的用户名和密码，另一位台湾数据工程师也在他的代码中也泄露了密码。

研究人员表示：“公司不清楚他们的程序员在GitHub上使用他们的代码做什么。”

在研究人员向华硕通知的电子邮件后的第二天，包含凭据的存储库被拉下线并删除干净。然而，华硕发言人Randall Grilli告诉TechCrunch，计算机制造商“无法验证研究人员电子邮件中警告的有效性”。 “华硕正在积极调查所有系统，以消除服务器和支持软件的已知风险，并确保没有数据泄漏。”

当然，这不仅限于华硕的问题。其他公司因暴露和泄露的凭证或硬编码密钥而面临风险。上周，学者们发现了超过100， 000 个存储加密密钥和其他秘密的公共存储库。

最着名的暴露证书的例子是Uber，其中一名工程师错误地将云密钥留在GitHub存储库中，当被黑客发现和利用时，它被用于窃取 5700 万用户的数据，优步后来被令支付1. 48 亿美元的数据泄露结算。